AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

Detectada campaña “Silent Swap”: extensiones de navegador manipulan transacciones para robar criptomonedas

Introducción

En las últimas semanas, investigadores de McAfee Labs han detectado una campaña activa de malware conocida como “Silent Swap”, que se centra en el robo de criptomonedas mediante la manipulación de direcciones de monedero durante transacciones en línea. Esta amenaza, que utiliza extensiones de navegador maliciosas, representa un importante desafío para la seguridad de usuarios y organizaciones que operan con activos digitales. El ataque es especialmente sofisticado ya que actúa de forma silenciosa, reemplazando direcciones de wallet en el momento de la transacción sin alertar a la víctima.

Contexto del Incidente

El auge de las criptomonedas ha supuesto un incremento en la superficie de ataque para ciberdelincuentes, quienes buscan nuevas técnicas para interceptar y desviar fondos. En este caso, la campaña Silent Swap se propaga a través de instaladores no firmados, detectados en variantes desarrolladas tanto en .NET como en Golang, lo que demuestra una clara intención de eludir controles tradicionales de seguridad y maximizar la compatibilidad en distintos entornos.

A diferencia de otros ataques tradicionales contra criptomonedas —como phishing, malware bancario o exploits en exchanges—, Silent Swap no requiere grandes infraestructuras de C2 (Command and Control) ni comprometer directamente las plataformas de intercambio. Su enfoque en extensiones de navegador, un vector cada vez más explotado, le permite operar con bajo perfil y afectar a una gran variedad de usuarios, desde particulares hasta empleados de empresas con activos digitales.

Detalles Técnicos

El malware asociado a Silent Swap se distribuye principalmente como extensiones maliciosas para navegadores populares (Chrome, Edge, Brave, entre otros). Los instaladores observados emplean técnicas de evasión, evitando la firma digital y utilizando variantes en .NET y Golang para dificultar el análisis estático y la detección por parte de soluciones antimalware convencionales.

El vector principal de ataque es el denominado “clipboard hijacking” o clipper: el malware monitoriza el portapapeles del sistema y, al detectar una dirección de wallet de criptomoneda (BTC, ETH, USDT, etc.), la sustituye automáticamente por otra controlada por el atacante justo en el momento en que el usuario realiza una transacción. En el caso de Silent Swap, este reemplazo se realiza en tiempo real y de manera silenciosa, lo que reduce drásticamente la probabilidad de que la víctima detecte el fraude antes de confirmar la transferencia.

Hasta la fecha, no se ha asignado un CVE específico al malware, aunque su modus operandi encaja en la técnica T1112 (Modify Registry) y T1056 (Input Capture) del framework MITRE ATT&CK, con especial énfasis en la manipulación del portapapeles. Los indicadores de compromiso (IoC) identificados incluyen hashes de archivos asociados a las extensiones maliciosas, direcciones de wallet empleadas recurrentemente por los atacantes y patrones de tráfico relacionados con la descarga de los instaladores.

Impacto y Riesgos

El impacto potencial de Silent Swap es elevado, especialmente para usuarios y empresas que gestionan activos en criptomonedas. Los riesgos incluyen la pérdida total e irreversible de fondos, ya que las transacciones en blockchain no son reversibles. Se estima que, en campañas similares, los atacantes han podido desviar sumas que alcanzan decenas de miles de euros en cuestión de horas tras la infección inicial.

A nivel empresarial, el riesgo se extiende a la posible responsabilidad legal bajo normativas como el GDPR y la inminente NIS2, en caso de que la fuga de activos afecte a datos personales o sistemas críticos. Además, la rápida propagación de este tipo de amenazas puede derivar en daños reputacionales y en la obligación de notificar incidentes a las autoridades competentes.

Medidas de Mitigación y Recomendaciones

Para mitigar los riesgos asociados a Silent Swap, se recomienda:

– Evitar la instalación de extensiones de navegador fuera de los repositorios oficiales y verificar siempre la legitimidad del desarrollador.
– Desplegar soluciones EDR con capacidad de análisis de comportamiento para detectar manipulaciones del portapapeles y actividades anómalas en el navegador.
– Aplicar políticas restrictivas de instalación de software y extensiones, especialmente en equipos que gestionan activos digitales.
– Formar a los usuarios sobre la importancia de comprobar manualmente las direcciones de wallet antes de confirmar cualquier transacción.
– Revisar logs y monitorizar indicadores de compromiso conocidos, como hashes de archivos y direcciones de wallet utilizadas por la campaña.
– Mantener los navegadores y sistemas operativos actualizados para reducir la superficie de ataque.

Opinión de Expertos

Especialistas de McAfee Labs y analistas independientes coinciden en que las campañas basadas en extensiones de navegador representan una tendencia al alza en el cibercrimen financiero. “El vector del navegador es especialmente peligroso porque aprovecha la confianza del usuario y suele pasar inadvertido por los controles clásicos”, destaca un analista senior. Además, se subraya la importancia de combinar tecnologías de detección avanzada con campañas de concienciación para mitigar el riesgo en entornos corporativos.

Implicaciones para Empresas y Usuarios

Para las organizaciones, este tipo de amenazas refuerza la necesidad de adoptar una estrategia Zero Trust y segmentar los sistemas que gestionan activos críticos. Los usuarios individuales deben extremar la precaución, especialmente ante la proliferación de extensiones que prometen mejoras en la gestión de criptomonedas.

A nivel de cumplimiento, incidentes como Silent Swap pueden desencadenar obligaciones de reporte bajo GDPR o NIS2, así como auditorías forenses para determinar el alcance del compromiso.

Conclusiones

La campaña Silent Swap pone de manifiesto la evolución del malware financiero y la creciente sofisticación de los ataques orientados a criptomonedas. La vigilancia activa, la adopción de buenas prácticas y la actualización constante de los sistemas de defensa son esenciales para minimizar el impacto de este tipo de amenazas.

(Fuente: feeds.feedburner.com)